Hallo zusammen,

ich habe einen Bekannten der sich einen Virus eingefangen hat.
Es handelt sich nach meinem Verständnis um den Cryptowall3 Virus.
Auf der ganzen Festplatte in jedem Ordner sind folgende Dateien zu finden:
HELP_DECRYPT.HTML
HELP_DECRYPT.PNG
HELP_DECRYPT.TXT

Er hat als Betriebssytem xp.
Ich habe jetzt 3 x Malwarebytes drüber laufen lassen bsi das tool nix mehr gefundne hat.
Ich gehe davon aus das der Virus jetzt weg ist jedoch sind alle Daten auf der Festplatte verschlüsselt.
Hat jemande eine Idee wie ich die dateien wiederherstellen kann?

Schon mal vielen Dank für euer Hilfe.



Anbei noch der Inhalt der txt Datei:


Was ist mit Ihren Daten passiert?
All Ihre Daten wurden mit der starken Verschlüsselung RSA-2048 mit Hilfe des Programms CryptoWall 3.0 geschützt.
Genaueres über das Chiffrieren mit Hilfe der RSA-2048 Schlüssel können Sie hier erfahren: hxxp://en.wikipedia.org/wiki/RSA_(cryptosystem)


Was bedeutet das?
Das bedeutet, dass die Struktur und die Daten innerhalb Ihrer Dateien unwiderruflich geändert wurden,
Sie können sie nicht mehr benutzen, sie lesen oder öffnen, das ist dasselbe, wie wenn sie verloren wären, aber mit unserer Hilfe können Sie sie wiederherstellen.


Wie ist das passiert?
Speziell für Sie wurde auf unserem geheimen Server ein RSA-2048 Schlüsselpaar generiert - ein öffentlicher und ein privater.
All Ihre Dateien wurden mit Hilfe des öffentlichen Schlüssels chiffriert, der an Ihr Computer per Internet übergeben wurde.
Das Dechiffrieren Ihrer Dateien ist nur mit Hilfe des privaten Schlüssels und eines speziellen Programms möglich, die sich auf unserem geheimen Server befinden.


Was soll ich tun?
Tut uns leid, aber wenn Sie innerhalb der angegebenen Zeit nichts unternehmen, werden sich die Bedingungen zum Erhalten des privaten Schlüssels und des speziellen Programms ändern.
Wenn Ihnen Ihre Daten viel bedeuten, dann raten wir Ihnen, Ihre Zeit nicht mit der Suche nach anderen Lösungen zu verschwenden, denn solche gibt es einfach nicht.


Um genauere Anweisungen zu erhalten, besuchen Sie bitte unsere persönliche Web-Seite, unten sich einige Adressen aufgeführt, die zu uns führen:
1.hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/1e7m1U3
2.hxxp://7oqnsnzwwnm6zb7y.ptiontor4pay.com/1e7m1U3
3.hxxp://7oqnsnzwwnm6zb7y.waytopaytor.com/1e7m1U3
4.hxxp://7oqnsnzwwnm6zb7y.suntorpaymoon.com/1e7m1U3

Wenn die Adressen aus irgendeinem Grund nicht verfügbar sind, führen Sie folgende Schritte aus:
1.Laden Sie Tor-Browser herunter und installieren Sie ihn: hxxp://www.torproject.org/projects/torbrowser.html.en
2.Starten Sie den Browser und warten Sie auf die Initialisierung.
3.Geben Sie folgendes in der Adressleiste ein: 7oqnsnzwwnm6zb7y.onion/1e7m1U3
4.Folgen Sie den Anweisungen auf der Web-Seite.


Nützliche Information:
Ihre persönliche Web-Seite: hxxp://7oqnsnzwwnm6zb7y.icepaytor.com/1e7m1U3
Ihre persönliche Web-Seite (mit TOR): 7oqnsnzwwnm6zb7y.onion/1e7m1U3
Ihr persönlicher Code (wenn Sie die Web-Seite (oder die TOR Web-Seite) direkt öffnen): 1e7m1U3

Hallo bongo260577



Mein Name ist Timo und ich werde Dir bei deinem Problem behilflich sein.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Hier findest du die Anleitung für Hilfesuchende
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scans durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf.

Hinweis:
Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist immer der sicherste Weg.

Wir arbeiten hier alle freiwillig und meist auch nur in unserer Freizeit. Daher kann es bei Antworten zu Verzögerungen kommen.
Solltest du innerhalb 48 Std keine Antwort von mir erhalten, dann schreib mit eine PM
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis ich oder jemand vom Team sagt, dass Du clean bist.

Führe sämtliche Tools mit administrativen Rechten aus, Vista, Win7,Win8 User mit Rechtsklick "als Administrator starten".

Wenn es sich wirklich um Cryptolocker 3 handelt, gibt es keine Chance die Dateien zu entschlüsseln.

Evtl hat man Glück und es sind noch Dateien im VSS System.

Unglücklicherweise hast du schon Hand an das System gelegt, was eher kontraproduktiv war.

Lade bitte ListCWall Download auf den Desktop des betroffenen Rechners und starte per Doppelklick.

Das Programm erstellt eine ListCwall.txt Datei, deren Inhalt bitte posten.

Hi,

Zitat:

Zitat von bongo260577

Er hat als Betriebssytem xp.

warum gurkt dein Bekannter noch mit XP im Internet herum??!

Dass Supportende von XP (April 2014) wurde ja nun lange genug breitgetreten. Hat jetzt zwra nicht unbedingt was mit Windows XP direkt zu tun, aber generell kann man von WinXP nur noch abraten, v.a. wenn gesurft werden muss.

Zitat:

Zitat von bongo260577

Hat jemande eine Idee wie ich die dateien wiederherstellen kann?

Backup natürlich auch nicht gemacht? Hoffe dein Bekannter lernt aus diesem Fehler. Uraltes Steinzeit-OS und keine Backups.

Wenn noch was hilft mit viel Glück dann => http://www.trojaner-board.de/116851-...tml#post842337


edit: moin Timo hab dich garnicht gesehen

Zitat:

Zitat von Warlord711

Evtl hat man Glück und es sind noch Dateien im VSS System.

Schattenkopien? Ich fürchte die sind hier keine Option, ist doch ne XP-Gurke...

VSS gibts auch unter XP...

Aber Recht hast du, XP ist schon fahrlässig.

Ich bezweifle das daa noch was zu retten ist, vor allem wenns Crypto3 ist heisst es entweder zahlen oder mit dem Verlust leben.

Hallo zusammen,

erst mal danke für euer Antworten.
Ich vestehe auch nicht waruem er noch mit xp arbeitet, jedoch nun ist es passiert.

Ich habe mal die Datei laufen lassen und habe folgende Infos:

ListCWall 1.3.0 by Lawrence Abrams (Grinler)
Backup function added by The Pugilist
Bleeping Computer - Technical Support and Computer Help
Copyright 2008-2015 BleepingComputer.com
More Information about the CryptoWall Ransomware can be found here:
CryptoWall and HELP_DECRYPT Ransomware Information Guide and FAQ

Windows Version: Microsoft Windows XP Service Pack 3
Username: Administrator Computer Name: BUERO2

Program started at: 03/31/2015 11:40:21 AM.


No CryptoWall encrypted file list found.

Program finished at: 03/31/2015 11:40:21 AM
Execution time: 0 hours(s), 0 minute(s), and 0 seconds(s)

Unter XP waren die Schattenkopien doch extremst eingeschränkt......

Die Daten werden weg sein wenn man kein Backup hat und kein Tool hilft. Bist du der Administrator des "BUERO2"-Rechners? Ich würde noch retten was zu retten ist und dann den Rechner mit einem neuen OS aufspielen. Wenn er kein Windows 7 oder höher verträgt kommt ein Lubuntu oder Xubuntu drauf.

Hallo Cosinus,

ich bin der der immer gefragt wird wenn was nicht geht. :-)
Aber in diesem Fall bin auch echt Ratlos.
Hast du noch ne Idee womit ich die Daten zurück bekommen kann - einen neuen (habe noch einen gebrauchten PC) Win 7 Rechner setze ich gerade schon auf.
Es muss doch iregnd ein Tool oder so was geben das so was beseitigen kann.
Mit Shadowcopy bin ich nicht weiter gekommen und selbst zum Beispiel recovery toolboy für PDF sagt es ist keine PDF Datei mehr.....

Nö gibt es nicht.

1) Schattenkopien gibt es unter XP nicht wie zB bei Win7
2) Backups wurden von deinem Kollegen natürlich nie erstellt
3) alle "wichtigen" Daten wurden verschlüsselt

Timo schrieb ja auch dass es da nix zu entschlüsseln gibt bei dieser Zecke. Ich hoffe deinem Kollegen geht durch diesem Vorfall ein Licht auf und sorgt in Zukunft für mehr Sicherheit:

1) regelmäßige Backups auf externe Medien
2) aktuelles Betriebssystem und nicht eins, bei dem man seit einem Jahr oder länger keine Updates mehr bekommt
3) Windows konsequent meiden wenn es geht => Why Linux is better

Ich habe eine Frage zu o.g. Virus. Wäre schön, wenn mir jemand weiterhelfen könnte: Verbreitet sich der Virus auch durch das Öffnen der verschlüsselten Dateien ?

Hintergrund: Mein Rechner war vor kurzem befallen und wurde mittlerweile komplett neu aufgesetzt. Vorher habe ich die wichtigsten Daten auf einen USB-Stick kopiert, die meisten davon waren noch nicht verschlüsselt, ein paar jedoch schon. Wenn ich diese Dateien (pdf & Office Dateien) jetzt wieder auf den Rechner spiele, kann es passieren, dass er sich wieder infiziert, z.B. durch das versuchte Öffnen einer verschlüsselten Datei?
Hilft es den USB-Stick vorher zu scannen (Avira oder Malwarebytes)?

Danke für die Hilfe